Configurar el aprovisionamiento de SCIM mediante Microsoft Entra ID (Azure Active Directory)

  • Artículo

En este artículo se describe cómo configurar el aprovisionamiento en Azure Databricks mediante Microsoft Entra ID (anteriormente conocido como Azure Active Directory).

Puede configurar el aprovisionamiento en Azure Databricks mediante Microsoft Entra ID en el nivel de cuenta de Azure Databricks o en el nivel de área de trabajo de Azure Databricks.

Databricks recomienda aprovisionar usuarios, entidades de servicio y grupos en el nivel de cuenta y administrar la asignación de usuarios y grupos a áreas de trabajo dentro de Azure Databricks. Las áreas de trabajo deben estar habilitadas para la federación de identidades, con el fin de administrar la asignación de usuarios a áreas de trabajo. Si tienes áreas de trabajo que no están habilitadas para la federación de identidades, debes seguir aprovisionando usuarios, entidades de servicio y grupos directamente en esas áreas de trabajo.

Nota:

La forma de configurar el aprovisionamiento es totalmente independiente de la configuración de la autenticación y el acceso condicional para las áreas de trabajo o las cuentas de Azure Databricks. La autenticación de Azure Databricks se controla automáticamente mediante Microsoft Entra ID, al usar el flujo de protocolo de OpenID Connect. Puedes configurar el acceso condicional, ya que te permite crear reglas para requerir la autenticación multifactor o restringir los inicios de sesión a redes locales, en el nivel de servicio.

Aprovisionamiento de identidades en la cuenta de Azure Databricks mediante Microsoft Entra ID

Puede sincronizar usuarios y grupos de nivel de cuenta desde el inquilino de Microsoft Entra ID en Azure Databricks mediante un conector de aprovisionamiento de SCIM.

Importante

Si ya dispone de conectores SCIM que sincronizan identidades directamente con las áreas de trabajo, debe desactivar dichos conectores SCIM cuando se active el conector SCIM a nivel de cuenta. Consulte Migración del aprovisionamiento SCIM de nivel de área de trabajo al nivel de cuenta.

Requisitos

  • La cuenta de Azure Databricks debe tener el plan Premium.
  • Debe tener el rol Administrador de aplicaciones en la nube en Microsoft Entra ID.
  • Para el aprovisionamiento de grupos, la cuenta de Microsoft Entra ID debe ser una cuenta de la edición Premium. El aprovisionamiento de usuarios está disponible en todas las ediciones de Microsoft Entra ID.
  • Debe ser administrador de la cuenta de Azure Databricks.

Nota:

Para activar la consola de cuenta y establecer su primer administrador de cuenta, consulte Establecer su primer administrador de cuenta.

Paso 1: Configuración de Azure Databricks

  1. Como administrador de la cuenta de Azure Databricks, inicie sesión en la consola de la cuenta de Azure Databricks.
  2. Haga clic en Icono de configuraciónConfiguración.
  3. Haga clic en el elemento Aprovisionamiento de usuarios.
  4. Haga clic en Configurar el aprovisionamiento de usuarios.

Copia el token de SCIM y la URL de SCIM de la cuenta. Esta información se usará para configurar la aplicación de Microsoft Entra ID.

Nota:

El token de SCIM está restringido a la API /api/2.0/accounts/{account_id}/scim/v2/ de SCIM para cuentas y no se puede usar para autenticarse en otras API de REST de Databricks.

Paso 2: Configuración de la aplicación empresarial

Estas instrucciones te indican cómo crear una aplicación empresarial en el portal de Azure y utilizar esa aplicación para el aprovisionamiento. Si tienes una aplicación existente, puedes modificarlo para automatizar el aprovisionamiento de SCIM mediante Microsoft Graph. Esto elimina la necesidad de tener una aplicación de aprovisionamiento independiente en Azure Portal.

Siga los pasos que se muestran a continuación para permitir que Microsoft Entra ID sincronice los usuarios y los grupos con su cuenta de Databricks. Esta configuración es independiente de las configuraciones que haya creado para sincronizar los usuarios y los grupos con las áreas de trabajo.

  1. En Azure Portal, vaya a Microsoft Entra ID > Aplicaciones empresariales.
  2. Haga clic en + Nueva aplicación, encima de la lista de aplicaciones. En Agregar desde la galería, busque y seleccione Azure Databricks SCIM Provisioning Connector (Conector de aprovisionamiento SCIM de Azure Databricks).
  3. Escriba un nombre para la aplicación y haga clic en Agregar.
  4. En el menú Administrar, haga clic en Aprovisionamiento.
  5. Establezca el Modo de aprovisionamiento en Automático.
  6. Establezca el valor del campo URL del punto de conexión de la API de SCIM con la URL de SCIM de la cuenta que copió anteriormente.
  7. Establezca un Token secreto para el token de SCIM de Azure Databricks que generó anteriormente.
  8. Haga clic en Probar conexión y espere el mensaje que confirma que las credenciales están autorizadas para habilitar el aprovisionamiento.
  9. Haga clic en Save(Guardar).

Paso 3: Asignación de usuarios y grupos a la aplicación

Los usuarios y los grupos que se asignen a la aplicación de SCIM se aprovisionarán en la cuenta de Azure Databricks. En el caso de que haya áreas de trabajo de Azure Databricks existentes, es recomendable que agregue todos los usuarios y grupos existentes de estas a la aplicación de SCIM.

Nota:

Microsoft Entra ID no admite el aprovisionamiento automático de entidades de servicio en Azure Databricks. Puede agregar entidades de servicio a la cuenta de Azure Databricks después de llevar a cabo la Administración de entidades de servicio en la cuenta.

Microsoft Entra ID no admite el aprovisionamiento automático de grupos anidados en Azure Databricks. Microsoft Entra ID solo puede leer y aprovisionar aquellos usuarios que son miembros inmediatos de un grupo asignado explícitamente. Como alternativa, debe asignar explícitamente los grupos que contengan los usuarios que se deban aprovisionar (también puede definir el ámbito de los grupos). Para obtener más información, consulte las Preguntas más frecuentes.

  1. Vaya a Administrar > propiedades.
  2. Establezca Asignación necesaria en No. Databricks recomienda esta opción, que permite a todos los usuarios iniciar sesión en la cuenta de Azure Databricks.
  3. Vaya a Administración > Aprovisionamiento.
  4. Para comenzar a sincronizar los usuarios y grupos de Microsoft Entra ID con Azure Databricks, establezca el conmutador de estado de aprovisionamiento en Encendido.
  5. Haga clic en Save(Guardar).
  6. Vaya a Administrar > Usuarios y grupos.
  7. Haga clic en Agregar usuario o grupo, seleccione los usuarios y los grupos y, a continuación, haga clic en el botón Asignar.
  8. Espere unos minutos y compruebe que los usuarios y los grupos existan en la cuenta de Azure Databricks.

Los usuarios y los grupos que agregue y asigne se aprovisionarán automáticamente en la cuenta de Azure Databricks cuando Microsoft Entra ID programe la siguiente sincronización.

Nota:

Si quita un usuario de la aplicación SCIM de nivel de cuenta, ese usuario también se desactiva en la cuenta y en todas sus áreas de trabajo, independientemente de si se ha habilitado la identidad federada o no.

Aprovisionamiento de identidades en el área de trabajo de Azure Databricks mediante Microsoft Entra ID (heredado)

Importante

Esta característica está en versión preliminar pública.

Si tiene áreas de trabajo no habilitadas para la federación de identidades, debe aprovisionar los usuarios, entidades de servicio y grupos directamente en esas áreas de trabajo. En esta sección se describe cómo realizarlo.

En los ejemplos siguientes, reemplace <databricks-instance> por la dirección URL del área de trabajo de la implementación de Azure Databricks.

Requisitos

  • La cuenta de Azure Databricks debe tener el plan Premium.
  • Debe tener el rol Administrador de aplicaciones en la nube en Microsoft Entra ID.
  • Para el aprovisionamiento de grupos, la cuenta de Microsoft Entra ID debe ser una cuenta de la edición Premium. El aprovisionamiento de usuarios está disponible en todas las ediciones de Microsoft Entra ID.
  • Debe ser un administrador del área de trabajo de Azure Databricks.

Paso 1: Creación de una aplicación empresarial y conectarla a la API de SCIM de Azure Databricks

Para configurar el aprovisionamiento directamente a las áreas de trabajo de Azure Databricks mediante Microsoft Entra ID, se crea una aplicación empresarial para cada área de trabajo de Azure Databricks.

Estas instrucciones te indican cómo crear una aplicación empresarial en el portal de Azure y utilizar esa aplicación para el aprovisionamiento. Si tienes una aplicación existente, puedes modificarlo para automatizar el aprovisionamiento de SCIM mediante Microsoft Graph. Esto elimina la necesidad de tener una aplicación de aprovisionamiento independiente en Azure Portal.

  1. Como administrador del área de trabajo, inicie sesión en tu área de trabajo de Azure Databricks.

  2. Genera un token de acceso personal y cópialo. Deberá proporcionar este token a Microsoft Entra ID en un paso posterior.

    Importante

    Genere este token como administrador del área de trabajo de Azure Databricks que no esté administrado por la aplicación empresarial de Microsoft Entra ID. Si el usuario administrador de Azure Databricks que posee el token de acceso personal se desaprovisiona mediante Microsoft Entra ID, la aplicación de aprovisionamiento de SCIM se deshabilitará.

  3. En Azure Portal, vaya a Microsoft Entra ID > Aplicaciones empresariales.

  4. Haga clic en + Nueva aplicación, encima de la lista de aplicaciones. En Agregar desde la galería, busque y seleccione Azure Databricks SCIM Provisioning Connector (Conector de aprovisionamiento SCIM de Azure Databricks).

  5. Escriba un nombre para la aplicación y haga clic en Agregar. Use un nombre que ayude a los administradores a encontrarlo, como <workspace-name>-provisioning.

  6. En el menú Administrar, haga clic en Aprovisionamiento.

  7. Establezca el modo de aprovisionamiento en Automático.

  8. Escriba la dirección URL del punto de conexión de la API de SCIM. Anexe /api/2.0/preview/scim a la dirección URL del área de trabajo:

    https://<databricks-instance>/api/2.0/preview/scim

    Reemplace <databricks-instance> por la dirección URL del área de trabajo de la implementación de Azure Databricks. Consulte Obtener identificadores para objetos del área de trabajo.

  9. Establezca un token secreto en el token de acceso personal de Azure Databricks que generó en el paso 1.

  10. Haga clic en Probar conexión y espere el mensaje que confirma que las credenciales están autorizadas para habilitar el aprovisionamiento.

  11. Tiene la opción de escribir un correo electrónico de notificación para recibir notificaciones de errores críticos con el aprovisionamiento de SCIM.

  12. Haga clic en Save(Guardar).

Paso 2: Asignar usuarios y grupos a la aplicación

Nota:

Microsoft Entra ID no admite el aprovisionamiento automático de entidades de servicio en Azure Databricks. Puede agregar entidades de servicio al área de trabajo de Azure Databricks después de llevar a cabo la Administración de entidades de servicio en el área de trabajo.

Microsoft Entra ID no admite el aprovisionamiento automático de grupos anidados en Azure Databricks. Microsoft Entra ID solo puede leer y aprovisionar aquellos usuarios que son miembros inmediatos de un grupo asignado explícitamente. Como alternativa, debe asignar explícitamente los grupos que contengan los usuarios que se deban aprovisionar (también puede definir el ámbito de los grupos). Para obtener más información, consulte las Preguntas más frecuentes.

  1. Vaya a Administrar > propiedades.
  2. Establezca Asignación requerida en . Databricks le recomienda usar esta opción, ya que sincroniza solo los usuarios y grupos asignados a la aplicación empresarial.
  3. Vaya a Administración > Aprovisionamiento.
  4. Para comenzar a sincronizar los usuarios y grupos de Microsoft Entra ID con Azure Databricks, establezca el conmutador de estado de aprovisionamiento en Encendido.
  5. Haga clic en Save(Guardar).
  6. Vaya a Administrar > Usuarios y grupos.
  7. Haga clic en Agregar usuario o grupo, seleccione los usuarios y los grupos y, a continuación, haga clic en el botón Asignar.
  8. Espere unos minutos y compruebe que los usuarios y los grupos existan en la cuenta de Azure Databricks.

En el futuro, los usuarios y grupos que agregue y asigne se aprovisionarán automáticamente cuando Microsoft Entra ID programe la siguiente sincronización.

Importante

No asignes el administrador del área de trabajo de Azure Databricks cuyo token de acceso personal se usó para configurar la aplicación del Conector de aprovisionamiento de SCIM de Azure Databricks.

(Opcional) Automatización del aprovisionamiento de SCIM con Microsoft Graph

Microsoft Graph incluye bibliotecas de autenticación y autorización que puede integrar en su aplicación para automatizar el aprovisionamiento de usuarios y grupos de su cuenta o área de trabajo de Azure Databricks, en lugar de configurar una aplicación de conector de aprovisionamiento de SCIM.

  1. Siga las instrucciones para registrar una aplicación con Microsoft Graph. Anote el identificador de aplicación y el identificador de inquilino de la aplicación.
  2. Vaya a la página de información general de la aplicación. En esa página:
    1. Configure un secreto de cliente para la aplicación y anótelo.
    2. Conceda estos permisos a la aplicación:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Pida a un administrador de Microsoft Entra ID que conceda el consentimiento del administrador.
  4. Actualice el código de la aplicación para agregar la compatibilidad con Microsoft Graph.

Sugerencias de aprovisionamiento

  • Los usuarios y grupos que existían en el área de trabajo de Azure Databricks antes de habilitar el aprovisionamiento muestran el comportamiento siguiente al aprovisionar la sincronización:
    • Se combinan si también existen en Microsoft Entra ID
    • Se ignoran si no existen en Microsoft Entra ID
  • Los permisos de usuario que se asignan individualmente y que se duplican a través de la pertenencia a un grupo, permanecen intactos después de quitar la pertenencia al grupo del usuario.
  • Los usuarios se han eliminado de un área de trabajo de Azure Databricks directamente, mediante la página de configuración de administración del área de trabajo de Azure Databricks:
    • Perderán el acceso a ese área de trabajo de Azure Databricks, pero aún pueden tener acceso a otras áreas de trabajo de Azure Databricks.
    • No se volverán a sincronizar mediante el aprovisionamiento de Microsoft Entra ID, incluso si permanecen en la aplicación empresarial.
  • La sincronización inicial de Microsoft Entra ID se activa inmediatamente después de habilitar el aprovisionamiento. Las sincronizaciones posteriores se desencadenan cada 20-40 minutos, según la cantidad de usuarios y grupos en la aplicación. Consulte Informe de resumen de aprovisionamiento en la documentación de Microsoft Entra ID.
  • No puede actualizar el nombre de usuario o la dirección de correo electrónico de un usuario del área de trabajo de Azure Databricks.
  • El grupo admins es un grupo reservado en Azure Databricks y no se puede quitar.
  • Puedes usar Groups API de Azure Databricks o la interfaz de usuario de grupos para obtener una lista de los miembros de cualquier grupo del área de trabajo de Azure Databricks.
  • No se pueden sincronizar grupos anidados ni entidades de servicio de Microsoft Entra ID desde la aplicación Conector de aprovisionamiento de SCIM de Azure Databricks. Databricks recomienda usar la aplicación empresarial para sincronizar usuarios y grupos y administrar grupos anidados y entidades de servicio en Azure Databricks. Sin embargo, también puede usar el proveedor de Databricks Terraform o scripts personalizados que tengan como destino la API SCIM de Azure Databricks para sincronizar grupos anidados o entidades de servicio de Microsoft Entra ID.

Solucionar problemas

Los usuarios y grupos no se sincronizan

  • Si usas la aplicación Azure Databricks SCIM Provisioning Connector:
    • Para el aprovisionamiento a nivel de área de trabajo: en la página de configuración de administración de Azure Databricks, verifique que el usuario de Azure Databricks cuyo token de acceso personal está siendo utilizado por la aplicación Azure Databricks SCIM Provisioning Connector siga siendo un usuario administrador del área de trabajo en Azure Databricks y que el token siga siendo válido.
    • Para el aprovisionamiento de nivel de cuenta: en la consola de la cuenta, compruebe que el token SCIM de Azure Databricks que se usó para configurar el aprovisionamiento sigue siendo válido.
  • No intente sincronizar grupos anidados, ya que no son compatibles con el aprovisionamiento automático de Microsoft Entra ID. Para obtener más información, consulte las Preguntas más frecuentes.

Las entidades de servicio de Microsoft Entra ID no se sincronizan.

  • La aplicación Azure Databricks SCIM Provisioning Connector no admite la sincronización de entidades de servicio.

Después de realizar la sincronización inicial, los usuarios y grupos dejan de sincronizarse

Si usa la aplicación Conector de aprovisionamiento de SCIM de Azure Databricks: después de realizar la sincronización inicial, Microsoft Entra ID no se sincroniza inmediatamente después de cambiar las asignaciones de usuarios o grupos. En cambio, programa una sincronización con la aplicación después de un retraso, según la cantidad de usuarios y grupos. Para solicitar una sincronización inmediata, vaya a la opción Administrar >Aprovisionamiento de la aplicación empresarial y seleccione Clear current state and restart synchronization (Borrar estado actual y reiniciar sincronización).

El intervalo de IP del servicio de aprovisionamiento de Microsoft Entra ID no es accesible

El servicio de aprovisionamiento de Microsoft Entra ID funciona con intervalos de IP específicos. Si necesita restringir el acceso a la red, debe permitir el tráfico de las direcciones IP para AzureActiveDirectory en este archivo de intervalo de IP. Para obtener más información, consulte Intervalos de IP.